Cuando el pasado 7 de mayo la empresa energética estadounidense Colonial fue objeto de un ataque informático que paralizó sus operaciones, el caos asomó la oreja. La compañía distribuye el 45% del combustible que se comercializa en la costa este, de Texas a Washington D.C., por lo que había que actuar rápido. DarkSide –el grupo de ciberdelincuentes– exigía una cifra millonaria, y la empresa terminó pagando: “Es lo correcto por el bien del país”, dijo su director ejecutivo.Lo sucedido se va haciendo cada vez más corriente: piratas informáticos bloquean los sistemas de una empresa, exigen una cifra –preferiblemente en criptomonedas– a cambio de desbloquearlos, y una vez hecha la transferencia dan las claves para ponerlo todo en funcionamiento nuevamente (aunque ojo: no siempre lo hacen). Tan “sofisticada” está la ciberdelincuencia que incluso observa “códigos de honor”, como la promesa de no volver a atacar a la compañía ya victimizada, o darle a elegir la criptomoneda en que prefiere ser extorsionada.El tema está de actualidad, además de por el incidente con Colonial, porque durante 2020 los ciberataques a empresas aumentaron un 150% respecto al año precedente. La aseguradora anglo-bermudeña Hiscox Ltd. realizó un estudio de casos en ocho países y halló que, de 6.043 empresas, el 43% habían sufrido un ataque informático, frente al 38% de 2019. En cuanto a lo pagado, las afectadas desembolsaron un 300% más que en el año anterior. Los criminales pusieron el ojo fundamentalmente en las empresas con más de 1.000 empleados: el 61% sufrió un ciberataque.Una de los que se muestran datos es España: de las 532 empresas analizadas, 283 (53%) habían recibido algún ataque; 225 (42%) no habían sido víctimas de ninguno, y 24 (5%) no se habían enterado de si se les había atacado o no. De 27 agencias gubernamentales y ONG examinadas, 11 reportaron al menos un ataque cada una.Las normas, necesarias (y obligatorias)La recurrencia de estos incidentes puede inducir a pensar que ha sido mal negocio dejarlo todo en manos de la informática y que, particularmente en el caso de las infraestructuras críticas, sería aconsejable tener “planes B” analógicos.Antonio Fernandes, asesor de ciberseguridad y miembro del área de Seguridad y Defensa del think tank OdiseIA –institución especializada en el impacto social y ético de la inteligencia artificial– comenta que es cada vez es más complejo volver a los sistemas manuales, si bien determinadas infraestructuras sí que los contemplan. Pero la tendencia es la informatización.— La percepción de la “infalibilidad” de los sistemas informáticos parece muy difundida…— Sí, pero no son infalibles. Todo depende de cómo los conformes. Hay sistemas con duplicados, de modo que si uno cae, el otro empieza a funcionar. Si asignas toda la responsabilidad a un único sistema y se te cae, entonces todo se viene abajo. Bien montado el sistema, es muy difícil tumbarlo.— ¿Entonces empresas como Colonial y otras a las que han extorsionado no han tenido estos sistemas-espejo?— No. De hecho, creo que Colonial no tenía ni un responsable de ciberseguridad, porque apenas unas semanas antes del ataque fue que sacaron una oferta para ocupar ese puesto en la empresa. Entiendo que les pillaron en un momento de reestructuración y no habría nadie liderando esa posición.Una directiva europea, la NIS, establece unos mínimos en materia de ciberseguridad que las instituciones están obligadas a respetar— Un analista recordaba en el New York Times que el 80% de las infraestructuras críticas de su país está en manos privadas, y que el gobierno no tiene autoridad para imponerles unos estándares de seguridad informática.— Eso es EE.UU., y cada país tiene su legislación. Desde el punto de vista mencionado, cada empresa es soberana de hacer lo que entienda, pero su alta dirección debería asegurar que esté cubierto el puesto de ciberseguridad.En el caso de Europa, hay una directiva europea, la NIS (Network and Information Security), que hemos adoptado en España para las infraestructuras críticas y que establece los mínimos que hay que seguir en ciberseguridad, que son auditados. Tenemos normas que adaptas a cada situación, pero las tienes que cumplir. Si eres una infraestructura esencial, tienes que tener la figura del jefe de ciberseguridad, que en EE.UU., como se ve, no es necesario.Aquí se le da un peso especial al cuidado de las infraestructuras, y se está preparando una revisión de los sectores que entran en la NIS. Próximamente otras industrias se incluirán en la lista de instituciones obligadas a cumplir esas normas.Pasa como en su día con las leyes de protección de datos (LOPD). ¿Qué pasa si no cumples la LOPD? Que la agencia española correspondiente te multa, y la multa suele ser alta. Las empresas asumieron que la ciberseguridad es importante y había que cumplir unos mínimos; si no lo haces y te pasa algo, además del ataque, te caerá una penalización.Pagar o no pagar: “That’s the question”¿Quién está detrás de estos ataques? Fernandes pide que desterremos de la mente la imagen del tipo sombrío, con capucha y un portátil en la mano: son mafias, grupos bien articulados que antes se dedicaban al tráfico de personas, de armas y de drogas, y que han descubierto su particular Eldorado en la extorsión por vía informática.— DarkSide, el sitio de quienes piratearon a Colonial, quedó fuera de operaciones poco después (se cree que por una acción de respuesta del gobierno de EE.UU.). ¿En qué medida es posible llevar ante la justicia a los autores de estos hechos?— Perseguir a esta gente es bastante difícil. En algunos casos están en países que los protegen, que los ven como un buen recurso para desestabilizar a otros países. Localizarlos es complejo, pues saben esconderse muy bien, y para el cobro de los rescates utilizan criptodivisas. Aunque a veces la cooperación internacional acaba con organizaciones de este tipo, como sucedió con la red Emotet, que realizó muchos ataques. La policía les dio caza y los detuvo.Se cree que muchos que han sufrido la extorsión de ciberdelincuentes no lo informan, bien por vergüenza, bien por no saber si ha sido ilegal pagar— Pongámonos